解決策
総当たり攻撃は新しい手法ではない。この手の攻撃は、ワードプレスが生まれて間もない頃から、同システムに対して行われている。過去、私はLogin Lockdownプラグインをインストールして、有効にするよう薦めたことがある。総当たり攻撃対策として役に立つためだ。これは、あるIPアドレスが連続で何度もログインに失敗した場合、当該のIPによるログインの試みをブロックして、サイトを保護する。残念ながら、パターンのセクションでも指摘したように、今回の攻撃は広範なIPアドレスから仕掛けられているため、単純に特定のIPアドレスをブロックするだけでは、今回のボットネット攻撃からサイトを守ることは出来ない。要するに異なるソリューションが必要とされているのだ。
ユーザーネーム「admin」を削除するパターンの詳細に再び注目していく。ワードプレスのサイトの運営者が、何よりも先に実施しなければいけないのは、サイトからユーザーネーム「admin」を削除することだ。 今のところ、今回の攻撃で最も狙われている脆弱性はこのユーザー名である。そのため、「admin」をユーザー名で利用するユーザーが存在するなら、今すぐに削除するか、名前を変更するべきである。
ユーザーの名前を容易に変更したいなら、新しいユーザーと置き換えよう。その際は次の手順に従うことを薦める:
- 「admin」ユーザーと同じ権限を持つ新しいユーザーを作成する。通常は管理人が該当する。ユーザーを作成するには、異なるeメールアドレスが必要であり、今のeメールアドレスとは異なるアドレスを利用しなければいけないだろう。
- ログアウトする。
- 新しいユーザーとしてログインする。
- 「admin」ユーザーを削除する。
- 「admin」ユーザーが所有する投稿とリンクの取り扱いを尋ねられたら、「すべての投稿とリンクをこのユーザーに帰属させる」を選択し、ドロップダウンリストから新しいユーザーを選ぶ。その後、「確認のうえ削除する」をクリックする。
- ユーザーが削除されたら、新しいユーザーのeメールアドレスを変更することが出来る。
ユーザー名を変更することが可能なプラグインが存在し、また、データベース内でユーザー名を変更することも可能ではあるが、個人的には上述したメソッドを常に採用している。 このメソッドの大きな利点は、早く、簡単にユーザー名を変更することが出来る点である。また、ID番号が1のユーザーのデータベースの記録を修正するワードプレスのハッキングスクリプトを私は目撃したことがあり、ユーザー名を削除することで、このハッキングを回避することが可能になる。重要度が高いわけではないが、出回っているスクリプトが、ID番号が1ではないユーザーには役に立たない点を知っておいても損はしないはずだ。
もっとレベルの高いパスワードを使う
このアドバイスを最初に取り上げるかどうかで私は迷った。「admin」ユーザー名を削除することで、今回の悪意のあるログインの試みからほぼ確実にサイトを守ることが出来るはずだが、低レベルなパスワードを利用していると、今回の攻撃に限らず、あらゆる攻撃を受けやすい。上のリストに挙げられているパスワードを利用しているユーザーがいるなら、あるいは、同じぐらい単純なパスワードを利用しているユーザーがいるなら、すぐにパスワードを変更するべきである。
「どうすれば良質なパスワードを作ることが出来るのか?」と言う問いに対しては、一言で答えることは出来ない。XKCDコミックのパスワードの強度は名作である。この作品では、簡単に覚えることが可能であり、尚且つ、なかなか見破られないパスワードではなく、覚えるのが難しいものの、比較的簡単に見破られてしまうパスワードを作ることで発生する問題が描かれている。検索を実施すれば、安全なパスワードの作り方に関するガイドを多数見つけることが出来るはずである。
